基于JWT的单点登录

原创 已于 2024-08-28 17:33:11 修改 · 324 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器

于 2023-01-11 20:21:27 首次发布

使用cookie和session做单点登录的弊端

  1. 为了记录用户的信息方便用户下一次请求的鉴别,服务端会存一份用户的数据到session中,随着用户数量的增加服务端的开销会增大。

  1. 不同服务难以共享session中的数据,就算使用springsession的分布式session,也只能放大domin和子域名共享session而不能使不同域名的服务共享session。

  1. 因为是基于cookie进行用户识别的,cookie如果被截获,坏人就能拿着这个cookie对用户进行攻击

  1. 只有浏览器有cookie

使用jwt(Json Web Token)

jwt是啥

JWT的本质就是一个字符串,它是将用户信息保存到一个Json字符串中,然后进行编码后得到一个JWT token。

结构:标头(Header)、有效载荷(Payload)和签名(Signature)。在传输的时候,会将JWT的3部分分别进行Base64编码后用.进行连接形成最终传输的字符串。Header.Payload.Signature三段。

Header:指定签名使用的算法,令牌的类型(jwt)。

payload:中可以存储json信息,建议不要存敏感信息

Signature:使用base64编码后的header和payload数据,通过指定的算法生成哈希,以确保数据不会被篡改。首先,需要指定一个密钥(secret),该密码仅仅为保存在服务器中,并且不能向用户公开。然后,使用header中指定的签名算法(默认情况下为HMAC SHA256)生成签名,在计算出签名哈希后,JWT头,有效载荷和签名哈希的三个部分组合成一个字符串,每个部分用.分隔,就构成整个JWT对象

jwt三部分的具体含义

jwt的加密

为了完成签名,除了用到header信息和payload信息外,还需要算法的密钥,也就是secretKey。加密的算法一般有2类:

  • 对称加密(HMAC【哈希消息验证码】):secretKey指加密密钥,可以生成签名与验签,签名和验证使用相同的密钥。性能高,秘钥泄露有安全问题。
  • 非对称加密(RSASSA【RSA签名算法(非对称)】):签名使用私钥,验证使用公钥,如果不是经常修改可将公钥保存到前端。安全性高,私钥只保存在服务端,token传输只需要传公钥,公钥只用于验签判断是否被篡改,并不能解密。

优势

  1. 自包含,能将用户的信息存到jwt当中,如可以存入用户的id然后根据id再到redis当中查询到用户的具体信息,可以避免大量用户将数据存到session给服务端带来的压力。

  1. 不需要在session中保存信息所以适合分布式的系统

  1. 短小精悍传输速度快

  1. jwt是以json的形式存在客户端的,所以是跨语言的

最佳实现

  1. 在登录服务登录之后给用户生成一个随机的token作为用户在reids的id(uuid),将这个随机的id作为键用户信息作为值存入redis并设置过期时间。

  1. 将生成的token作为jwt的payload生成jwt然后返回给前端,前端将这个jwt保存在客户端的localstorage。

  1. 之后每次前端发的请求都带上这个jwt放到请求头中给后端,后端定义一个拦截器,每次前端的请求经过拦截器都会解析出jwt中的token再根据token到redis中查得用户登录信息放入请求域中。

分布式商城中的应用

商城前台服务前后端不分离不使用localstorage

使用jwt+cookie,登录后在认证服务域名下存cookie,其他服务到认证服务获取cookie。

  1. 导入jwt依赖

<dependency>
     <groupId>com.auth0</groupId>
     <artifactId>java-jwt</artifactId>
     <version>3.10.3</version>
</dependency>

  1. 编写jwt工具类用户jwt的生成和解析

public class JwtUtil {
    //相当于盐
    private static final String SING = "%F$#TYF%G123";

    /**
     * 生成token
     * @param map 存入到payload的数据
     * @return
     */
    public static String getToken(Map<String,String> map){
        Calendar calendar = Calendar.getInstance();
        calendar.add(Calendar.HOUR,1);//设置令牌过期时间一个小时

        //创建jwt builder
        JWTCreator.Builder builder = JWT.create();

        //遍历map中的数据存入payload
        map.forEach((k,v) -> {
            builder.withClaim(k,v);
        });


        String token = builder.withExpiresAt(calendar.getTime())//指定令牌过期时间
                              .sign(Algorithm.HMAC256(SING));//指定盐
        return token;
    }

    /**
     * 验证token,如果验证通过则返回衣蛾DecodedJWT对象可以在这个对象中获取token中的数据
     * @param token
     * @return
     */
    public static DecodedJWT verity(String token){
        //创建验证对象
        JWTVerifier build = JWT.require(Algorithm.HMAC256(SING)).build();
        //验证,如果出错会报异常
        DecodedJWT verify = build.verify(token);
        return verify;

        /**
         *  获取解析后的token中的payload信息
         *     Claim userId = verify.getClaim("userId");
         *     Claim userName = verify.getClaim("userName");
         *     System.out.println(userId.asInt());
         *     System.out.println(userName.asString());
         */
    }
}

  1. 登录成功后将随机生成的token(uuid)作为键用户信息作为值存入redis,并使用JWTUtil将uuid生成JWT存入Auth-Server域名下的cookie。

  1. 给需要用户信息的服务编写拦截器,因为cookie不能跨域,所以在此服务下获取不到登录信息,因此我们在拦截器中重定向到Auth-Server服务获取jwt,获取到jwt后用JWTUtil解析出payload中的token再根据token到redis中查出用户信息放入请求域中,并且将jwt存到当前服务域名下的cookie中方便下一次该服务就不用重定向到Auth-Server中获取jwt了。

拦截器:

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        MemberEntity loginUser = null;
        String token = null;

        //查看在当前域名是否已经有token的cookie
        Cookie[] cookies1 = request.getCookies();
        for(Cookie c : cookies1){
            if(c.getName().equals("token")){
                token = c.getValue();
            }
        }

        //如果当前域名没有token
        if(StringUtils.isEmpty(token)){
            //获取当前请求的地址
            String serverName = "http://mymall.com";
            String requestURI = request.getRequestURI();
            String url = serverName + requestURI;

            //如果当前域名没有token,就带上url去认证服务认证获取token
            token = request.getParameter("token");
            if(StringUtils.isEmpty(token)){
                response.sendRedirect("http://auth.mymall.com/auth" + "?url=" + url);
                return true;
            }
        }

        //第二次来到拦截器,如果token是“nothing”说明认证服务的域名下没有cookie即没有用户的登录信息,
        // 则直接放行这样请求域中就没有用户的登录信息
        if(!token.equals("nothing")){
            //token不是nothing说明有cookie,则把用户信息放入请求域
            try {
                DecodedJWT verity = JwtUtil.verity(token);
                //校验成功之后从jwt中获取payload中的用户id
                String userId = verity.getClaim("userId").asString();
                //再根据用户id到redis中找到对应的用户信息
                ValueOperations<String, String> ops = stringRedisTemplate.opsForValue();
                String s = ops.get(userId);
                loginUser = JSON.parseObject(s,MemberEntity.class);
                //将token存入当前域名下的cookie
                Cookie c = new Cookie("token", token);
                response.addCookie(c);
                //放入请求域中
                request.setAttribute("loginUser",loginUser);
            } catch (Exception e) {
                e.printStackTrace();
            }
        }
        return true;
    }

Auth-server中的认证接口:

/**
     * 认证(获取token)
     * @param request
     * @param token
     * @return
     */
    @GetMapping("/auth")
    public String login(HttpServletRequest request, @CookieValue(value = "token",required = false) String token){

        if(StringUtils.isEmpty(token)){
            token = "nothing";
        }

        String url = request.getParameter("url");

        return "redirect:" + url + "?token=" +token;
    }

  1. 在页面中获取请求域中的登录用户的昵称

若依集成jwt实现登录授权访问(单体版)
猿小白的博客
03-22 3091
这个应用场景很常见,比如,我们需要为app或者小程序提供授权登录API接口,这时候就可以用到jwt实现改业务场景。 目录 一、添加jwt依赖文件 二、增加jwt登录方法 三、下载jwt整合插件包 四、增加测试接口 五、jwt登录接口测试 (1)获取token ​(2)测试接口 一、添加jwt依赖文件 ruoyi-framework\pom.xml添加jwt依赖 <!-- jwt jar--> <dependency> <groupId>co.
jwt实现单点登录,基础讲解加实战!!!
m0_51167384的博客
03-22 1340
前言 1.了解token模式: token (令牌)是一串字符串,通常因为作为鉴权凭据,最常用的使用场景是 API 鉴权。 token 通过一次登录验证,得到一个鉴权字符串,然后以后带着这个鉴权字符串进行后续操作,这样就可以解决每次请求都要带账号密码的问题,而且也不需要反复使用账号和密码。 一、JWT是什么? 1.概念 JWT 全称 JSON Web Tokens ,是一种规范化的 token 2.组成 一个 JWT token 是一个字符串,它由三部分组成,头部、载荷与签名,中间用 . 分隔 (1)头部
OA对接若依第三方系统时实现单点登录的一些笔记
qq_51135343的博客
08-24 2498
在oa系统里面左侧的菜单栏目里,都是oa自己的,现在需要实现左侧一个菜单按钮,点击之后直接跳到另一个系统的一个页面(这里使用若依),用户的体验如同在同一个系统一样,并不了解是个系统对接的。而在其中需要实现单点登录的功能,也就是用户在oa系统登录之后,跳转到第三方系统的页面时并不需要重复的登录。本文使用的第三方系统是若依前后端分离版。
JWT实现单点登录
weixin_74376750的博客
09-13 392
用户在登录后,服务器会生成一个JWT,并在每次请求中将其包含在HTTP请求头或Cookie中。客户端在后续请求中将JWT发送到服务器服务器使用秘钥验证JWT的签名以确保令牌的有效性,并识别用户。负载部分包含了一组声明(claims),这些声明是关于用户或实体的信息,以及其他元数据。负载部分可以包含用户的角色、权限等信息,服务器可以根据这些信息来决定用户是否有权访问某些资源。包含了令牌的元数据和描述信息,通常指定了使用的签名算法(例如,HMAC SHA256或RSA),以及令牌类型(JWT)。
Spring Security基于JWT实现SSO单点登录详解
08-25
Spring Security 基于 JWT 实现 SSO 单点登录详解 基于 Spring Security 框架和 JWT(JSON Web Token)技术,可以实现 SSO(Single Sign-On)单点登录系统。SSO 是一种常见的身份验证机制,允许用户使用同一个...
spring boot如何基于JWT实现单点登录详解
08-25
主要介绍了spring boot如何基于JWT实现单点登录详解,用户只需登录一次就能够在这两个系统中进行操作。很明显这就是单点登录(Single Sign-On)达到的效果,需要的朋友可以参考下
精选资源
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
基于JWT实现SSO单点登录流程图解
08-18
基于JWT实现SSO单点登录流程图解 基于JWT实现SSO单点登录流程图解是指使用JSON Web Token(JWT)来实现单点登录(SSO)的机制。在这种机制中,用户只需要登录一次,就可以访问个应用服务器上的资源,而不需要再次...
Spring Boot 基于 JWT 实现单点登录全解析
最新发布
weixin_42593797的博客
05-03 1292
在当今的分布式系统和微服务架构中,单点登录(SSO)是提升用户体验和系统安全性的关键技术。JSON Web Token(JWT)作为一种轻量级的身份验证和授权机制,因其自包含、跨域支持等特性,被广泛应用于单点登录场景。本文将深入探讨 Spring Boot 基于 JWT 实现单点登录的原理、实现方式、优缺点以及需要注意的问题,并提供详细的代码示例。Spring Boot 基于 JWT 实现单点登录是一种轻量级、高效的解决方案。
详解使用JWT实现单点登录(完全跨域方案)
10-16
主要介绍了详解使用JWT实现单点登录(完全跨域方案),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
asp.net mvc使用JWT代替session,实现单点登陆
i李泳谦谦谦谦谦
05-31 1万+
使用JWT取代session,实现单点登陆1. 什么是Token?2. 什么是JWT?3. Token与Session比较传统Session所暴露的问题Token的验证机制4. ASP.NET MVC如何使用jwt实现单点登陆 1. 什么是Token? 什么是token?token可以理解为是一种令牌,常用在计算机身份认证。在与服务器进行数据传输之前,会进行身份核验。 2. 什么是JWT? 什么是...
若依ruoyi实现单点登录
热门推荐
屎香香wuqingvika的专栏
12-01 2万+
系统说明(两个系统数据库用户信息username是同步的,都是唯一的)登录需求:我登录到第三方平台,第三方平台嵌入我们的若依,所以在跳若依的管理页面时不想再登录了。但是验证是需要把第三方平台的token解析成username,拿到username只走我们自己只验证账号的认证。
基于JWT实现单点登录
Lyh_ok的博客
05-15 1万+
单点登录概述: 系统共存下,用户在一处地方登录,得到其他所有系统的信任,无需再次登录。 自己的理解:在进行用户登录的时候,jwt生成一个token,用户带着这个token去其他页面进行验证。(token设置过期时间) 这里介绍一些jwt基本概念 JWT:1.认证流程 a.首先,前端通过web表单将自己的用户民和密码发送到后端的接口,这一过程一般是一个HTTP,POST请求。建议的方式是通过SSL 加密的方式传输(https协议),从而避免敏感信息被嗅探。 b.后端核对用户名和密码成功后,将用户的id
解决单点登录学习JWT
qq_36657997的博客
07-07 437
链接一:https://blog.csdn.net/qq_40081976/article/details/79046825链接二:https://blog.csdn.net/memmsc/article/details/78122931
【若依框架】集成JWT
qq_42343593的博客
06-22 3418
1.JWT的运用场景: 适用与前后端分离, 适用于对外提供接口时(比如C#要调用Java的后台接口,为了保证接口的安全性,得先拿到token,再发起请求的时候带上token) 2.集成文档说明:(该文档来自若依官方) https://doc.ruoyi.vip/ruoyi/document/cjjc.html#集成jwt实现登录授权访问 3.RuoYi 4.6.1源码:(来自gitee) https://gitee.com/y_project/RuoYi 4.JWT集成所需代码: 链接: https://p
两个若依系统,不能同时登录问题解决方案
html网页设计、web前后端网站制作、大学生网页设计作业、jQuery网站设计、uniapp小程序、vue网站设计、网页成品模板、期末大作业,各种源码应有尽有,持续更新中...
08-14 1475
当用户从B系统访问A系统时,由于B系统覆盖了cookie中的token,A系统尝试使用这个由B系统颁发的token进行认证,自然在A系统的后端(如Redis)中找不到对应的记录,导致认证失败,用户被迫重新登录A系统。这可以确保系统间的token隔离,防止互相干扰。问题根源在于两个独立的系统(A系统与B系统)共享了同一cookie键名来存储各自用户的认证令牌(token)。:后端也需要相应地调整,以支持各自系统的token认证流程,确保token的生成、存储和验证都在对应系统的上下文中进行。
若依框架后端实现单点登录功能
qq_46116385的博客
02-22 2764
若依框架后端实现单点登录功能
若依实现单点登录
2302_76401622的博客
05-17 1412
若依后台管理单点登录
Spring Boot JWT实现单点登录详解
**Spring Boot如何基于JWT实现单点登录详解** 在这个指南中,我们将深入探讨如何在Spring Boot项目中利用JSON Web Tokens (JWT) 实现单点登录(Single Sign-On, SSO)。单点登录是一种设计模式,允许用户在个系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值